jekyll - 使用 Github Pages 托管的 Jekyll 站点中是否需要 gemfile.lock 文件？

Question

最近我进入 Jekyll 建立文档站点并将它们托管在 Github Pages 上。我知道 Github Pages 的插件列表非常有限。在进行一些漏洞测试时，我发现文件Gemfile.lock容易受到 XML 外部实体 (XXE) 注入的攻击。

在我的研究中，我读到：

• Gemfile.lock 是否应该包含在 .gitignore 中？
• Gem 的 Gemfile.lock 不应该在源代码管理中。
• 使用 Jekyll 在本地设置 GitHub Pages 站点

阅读接受的答案后：

假设您没有编写 ruby​​gem，Gemfile.lock 应该在您的存储库中。它用作所有所需 gem 及其依赖项的快照。这样，bundler 就不必在每次部署时重新计算所有 gem 依赖项等。

但我无法控制 Jekyll 网站。请纠正我，如果我理解这个过程，但 Github Pages 构建了网站，如果Gemfile.lock用于 Gems 的开发，这不是我可以控制的，可以删除文件并添加到.gitignore吗？

Answer 1

GitHub Pages 不查找Gemfile.lock文件，也不查找文件Gemfile本身。它所需要的只是一个适当的配置文件来加载 gems / plugins。